10 Möglichkeiten zur Entwicklung von Cybersicherheitsrichtlinien und Best Practices

Bild: iStockphoto/FroYo_92

Im Januar 2018 wurden britische Unternehmen 7.073.069 Mal Opfer von Opfern. Am 3. Januar 2018 informierte das US-Heimatschutzministerium 247.167 seiner Mitarbeiter über die Verletzung ihrer Daten.

Es war ein vielversprechender Anfang für Cyber-Hacker im Jahr 2018, daher überrascht es nicht, dass Sicherheit und Risikomanagement in einer NASCIO-Umfrage vom November 2018 als oberste Priorität für CIOs eingestuft wurden.

Aber sind Unternehmen bereit?

Besonderes Merkmal

Sonderbericht: Eine erfolgreiche Strategie für Cybersicherheit (kostenloses PDF)

Sonderbericht: Eine erfolgreiche Strategie für Cybersicherheit (kostenloses PDF)

Dieses E-Book, das auf der neuesten Sonderfunktion von ZDNet/TechRepublic basiert, bietet einen detaillierten Einblick in die Erstellung von Risikomanagementrichtlinien zum Schutz Ihrer kritischen digitalen Assets.

Weiterlesen

„Wir befinden uns in der fünften Generation der Cybersicherheit“, sagte Gabi Reish, Vice President of Marketing bei Check Point, einem Sicherheitsanbieter.

Reish listet die Cybersecurity-Generationen wie folgt auf:

  • Gen 1: Entwickelt, als in den 1980er Jahren PCs mit Disketten eingeführt wurden, mit Viren als ersten Cyberangriffen.
  • Gen 2: Entstand Mitte der 1990er Jahre mit Cyberangriffen, die sich auf Daten- und Netzwerksicherheit konzentrierten; Die Lösung waren Firewalls.
  • Gen 3: Begann in den frühen 2000er Jahren mit der Ausnutzung von Anwendungen, Browsern und Netzwerken. Dies war der Beginn der Erkennung von Netzwerkangriffen.
  • Gen 4: Begann um 2010 mit ausgefeilteren Cybersicherheitsangriffen, bei denen Malware in E-Mails, Dokumente und Bilder eingebettet wurde. Dadurch wurde eine Sicherheitstechnologie generiert, die diese Vorkommnisse in eine Sandbox sperrte, um sie einzudämmen und ihre Ausbreitung auf andere Bereiche des Netzwerks zu verhindern.
  • Gen 5: Umfassende Angriffe, die Ransomware, Phishing, Ausnutzung von Inhalten und/oder eine beliebige Anzahl von Kombinationen beinhalten.

Leider sagt Reish auch, dass die meisten Unternehmen “nur bei der zweiten oder dritten Generation” des Cyber-Schutzniveaus sind, und eine kürzlich durchgeführte Umfrage von Radware, die DDoS-Angriffsprävention, Firewalls und Lösungen zum Netzwerklastenausgleich anbietet, unterstützt dies. Laut der Radware-Umfrage: „Obwohl jedes vierte (24 %) Unternehmen täglich oder wöchentlich Cyberangriffe meldet, haben fast 80 % der befragten Unternehmen keine Berechnung für die Kosten von Angriffen erstellt, und jedem dritten fehlt ein Cyber-Attacken Notfallplan.”

Ein Ansatz zur Erhöhung der Cybersicherheit besteht darin, die effektivsten Technologien zu implementieren – aber diese Technologien sind nur so effektiv wie die Unternehmen und die Menschen, die sie betreiben. Dies macht die Festlegung und Durchsetzung von Richtlinien zu einem vorrangigen Ziel für CIOs und CSOs.

Was sind also die besten Möglichkeiten, um im Jahr 2018 solide Cybersicherheitsrichtlinien und -praktiken zu entwickeln? Hier sind 10 Empfehlungen.

SIEHE: Richtlinien für Gebäudesicherheitsrichtlinien (Tech Pro Research)

1. Software und Systeme aktualisieren

Nachdem Spectre im Januar 2018 zugeschlagen hatte, gab Apple Sicherheitsfixes für sein Betriebssystem iOS 11 heraus. Dies unterscheidet sich nicht von dem, was andere IT-Anbieter tun, wenn sie eine Sicherheitslücke entdecken. Die Herausforderung für die IT besteht jedoch darin, sicherzustellen, dass die Vielfalt der Geräte, die sich in den Händen der Benutzer befinden, alle mit den neuesten Versionen einer Vielzahl von Betriebssystemen aktualisiert werden. Dies erfordert eine zentralisierte Richtlinienerstellung in der IT, die wahrscheinlich eine „Push“-Methodik anwendet, die neue Sicherheitsupdates auf das Gerät eines Benutzers erzwingt, wenn er sich mit dem Netzwerk verbindet, anstelle einer „Pull“-Methode, die den Benutzer benachrichtigt, dass ein neuer Sicherheitspatch verfügbar ist und gibt ihnen die Möglichkeit, diese neue Software zu laden, wenn es bequem ist.

Ich war ein Befürworter von Pull-Updates für Software im Feld, weil man nie weiß, wann ein Benutzer sein Gerät benötigt, und diese Updates können im Weg sein. Das Volumen und die Geschwindigkeit der heutigen Cyberangriffe erfordern jedoch strengere Richtlinien, da viele Benutzer sich auch nie die Mühe machen, ein Update auf ihre Geräte zu ziehen. Folglich ist Push im Sicherheitsumfeld von 2018 die sicherste Sicherheitsrichtlinie.

SIEHE: IT-Profi-Leitfaden für effektives Patch-Management (kostenloses TechRepublic-PDF)

2. Führen Sie Sicherheitsaudits von oben nach unten durch

Falls Ihr Unternehmen dies noch nicht getan hat, sollte es eine gründliche Sicherheitsüberprüfung seiner IT-Assets und -Praktiken durchführen. Bei diesem Audit werden die Sicherheitspraktiken und -richtlinien Ihrer zentralen IT-Systeme sowie Ihrer Endbenutzerabteilungen und an den „Randen“ Ihres Unternehmens überprüft, z. Die Prüfung sollte sich nicht nur auf die Software- und Hardwaretechniken beziehen, die Sie zum Schutz der Sicherheit einsetzen, sondern auch auf die Gewohnheiten des Personals an entfernten Standorten und die Einhaltung der Sicherheitsrichtlinien.

3. Vergiss Social Engineering nicht

Als Teil Ihres End-to-End-IT-Audits sollten Sie Social Engineering einbeziehen, das überprüft, ob Ihre Mitarbeiter Anfälligkeiten zeigen, wenn es darum geht, vertrauliche Informationen preiszugeben.

Dieses Social Engineering kann so einfach sein, dass jemand einem Kollegen über eine Büropartition ein Passwort zuruft – oder es könnte ein Benutzer sein, der bei der Arbeit eine Website aufruft und Passwörter oder andere wichtige Informationen preisgibt, die letztendlich in die falschen Hände geraten .

“Die Anfragen nach Social-Engineering-Audits haben zugenommen”, sagte Stuart Chontos-Gilchrist, CEO von E3 Technology, einer IT-Sicherheitsprüfungsgesellschaft. “Unternehmen erkennen, dass es häufiger Menschen als Maschinen sind, die Sicherheitsverletzungen verursachen.”

SIEHE: Leitfaden für IT-Führungskräfte zur Reduzierung von Insider-Sicherheitsbedrohungen (Tech Pro Research)

4. Verlangen Sie Audits von Lieferanten und Geschäftspartnern

Laut einem Bericht von Commvault und CITO Research aus dem Jahr 2017 betrachten mehr als 80 Prozent der Unternehmen die Cloud als integralen Bestandteil ihrer Technologie. Mit der Abkehr von internen Rechenzentren ist es jedoch auch wichtiger geworden, von Ihren Lieferanten und Geschäftspartnern regelmäßige IT-Audit-Berichte zu verlangen. Unternehmen sollten Richtlinien haben, die regelmäßige Sicherheitsauditberichte von Anbietern verlangen, die sie in Betracht ziehen, bevor Verträge unterzeichnet werden. Danach sollte von den Anbietern im Rahmen ihrer SLAs erwartet werden, dass sie jährlich Sicherheitsauditberichte vorlegen.

5. Bieten Sie neue und kontinuierliche Sicherheitsschulungen an

Cybersicherheitsschulungen sollten ein fester Bestandteil jeder neuen Mitarbeiterorientierung sein, wobei neue Mitarbeiter bestätigen, dass sie die Schulung gelesen und verstanden haben. Jährlich sollte den Mitarbeitern auch unternehmensweit ein Auffrischungskurs in Cybersicherheitspraktiken angeboten werden. Dadurch wird sichergestellt, dass Sicherheitsrichtlinien und -praktiken im Gedächtnis der Mitarbeiter bleiben und dass sie alle Richtlinienergänzungen oder -änderungen verstehen.

SEE: Sicherheitsbewusstsein und Schulungsrichtlinie (Tech Pro Research)

6. Beobachten Sie die Kante

Manufacturing 4.0 und andere Remote-Computing-Strategien verlagern das Computing weg von Rechenzentren und an die Ränder der Unternehmen. Dies bedeutet, dass ein Hersteller mit einem abgelegenen Werk in Irland wahrscheinlich Fertigungspersonal hat, das automatisierte Roboter und Produktionsanalysen mit lokalen Servern im Werk betreibt. Auf diesen Geräten muss die Software- und Hardwaresicherheit aufrechterhalten werden, aber die Geräte müssen auch lokal gemäß den akzeptierten Cybersicherheitsrichtlinien und -verfahren von Personal verwaltet werden, das diese Aufgaben ohne IT-Hintergrund ausführen soll. Dies ist ein Sicherheitsrisikopunkt für das Unternehmen und die IT, der eine Schulung von Nicht-IT-Personal in IT-Sicherheitsrichtlinien und -praktiken sowie eine Aufsicht durch IT und Auditoren erfordert.

7. Führen Sie regelmäßige Datensicherungen durch, die arbeiten

Wenn Ihre Daten bei einem Ransomware-Angriff kompromittiert oder als Geiseln gehalten werden, können Sie mit einer nächtlichen Datensicherung zumindest mit minimalem Verlust auf die Daten des Vortages zurücksetzen. Es ist eine einfache Richtlinie und Praxis, um sie umzusetzen. Leider ist ein größeres Problem für Unternehmen nicht so sehr, dass sie keine Datensicherungen durchführen, sondern dass die Sicherungen nicht immer funktionieren. Eine der wichtigsten Cybersicherheitsrichtlinien, die die Unternehmens-IT einführen kann, ist die Anforderung, dass Datensicherungen und Disaster Recovery mindestens einmal jährlich vollständig getestet werden, um sicherzustellen, dass alles ordnungsgemäß funktioniert.

8. Schützen Sie Ihre Informationsressourcen physisch

Selbst wenn Software, Hardware und Netzwerksicherheit vorhanden sind, hilft es nicht viel, wenn Server in Produktionshallen und in Geschäftsbereichen ungesichert bleiben. Physische Sicherheit, wie ein verschlossener „Käfig“ für einen Server in einer Anlage, der nur für Personal mit Sicherheitsfreigabe zugänglich ist, ist von entscheidender Bedeutung. Sicherheitsrichtlinien und -praktiken sollten sowohl die physischen als auch die visuellen Aspekte von Informationen berücksichtigen.

9. Einhaltung der Branchenkonformität

Insbesondere für Unternehmen in stark regulierten Branchen wie Gesundheitswesen, Versicherungen und Finanzen sollte die Einhaltung gesetzlicher Vorschriften in Bezug auf die IT-Sicherheit genau eingehalten werden. Unternehmen in diesen Branchen sollten die Sicherheits-Compliance-Anforderungen jährlich überprüfen und ihre Sicherheitsrichtlinien und -praktiken bei Bedarf aktualisieren.

10. Informieren Sie Ihren Vorstand und CEO

Eine erfolgreiche Cybersicherheitsstrategie ist eine Strategie, bei der Sie sich nie vor dem CEO oder dem Vorstand wiederfinden müssen, die erklären müssen, wie es zu einer Cybersicherheitsverletzung kam und was Sie tun, um sie einzudämmen. Leider sind großartige Sicherheitssysteme “unsichtbar”, weil sie Ihnen nie Probleme bereiten.

Aus diesem Grund ist es für CIOs, CSOs und andere mit Sicherheitsverantwortung wichtig, Cybersicherheitstechnologien, -richtlinien und -praktiken in einer einfachen Sprache zu erklären, die der CEO, der Vorstand und andere nicht technische Interessengruppen verstehen können. Wenn die nicht technisch versierten Mitarbeiter in Ihrem Unternehmen nicht verstehen, warum Sie eine bestimmte Richtlinie umsetzen oder eine beträchtliche Investition für eine Cybersicherheitstechnologie fordern, werden Sie Schwierigkeiten haben, Ihren Fall durchzusetzen – es sei denn, Sie leiden alle darunter eine peinliche Sicherheitslücke, die Karrieren beenden und das Überleben des gesamten Unternehmens gefährden könnte.

Lesen Sie auch…

  • 10 Möglichkeiten, dateilose Malware-Infektionen zu minimieren (kostenloses TechRepublic-PDF)
  • Serverless Computing zeigt neue Sicherheitsherausforderungen in der Hybrid-IT auf (TechRepublic)
  • Unverzichtbare Lektüre für IT-Führungskräfte: 10 Bücher über Cybersicherheit (kostenloses TechRepublic-PDF)
  • Cybersecurity-Bericht: Warum zu viele Unternehmen mit „könnten besser“ bewertet werden (ZDNet)
  • SEC fordert klarere Offenlegungen zu Cybersicherheitsrisiken (CNET)
  • Die größten Herausforderungen der Cybersicherheit: Vertrauen, Cybermüdigkeit und der Kampf um KI (TechRepublic)

Leave a Comment